Cryptojacking - Minería de criptomonedas no autorizada
Lectura de 2 min aprox.
El criptojacking es un ciberataque que utiliza los recursos de cómputo del ordenador o el servidor de otra persona, sin su permiso, para minar criptomonedas. Como consume de forma encubierta la CPU o la GPU de la víctima para enviar criptomonedas a la cartera del atacante, se clasifica como un tipo de malware. Su rasgo distintivo es un alto grado de sigilo: a diferencia del ransomware, el daño no se manifiesta de inmediato y no es raro que pase desapercibido durante meses.
El auge y la caída de Coinhive (2017 - 2019)
El detonante de la propagación explosiva del criptojacking fue Coinhive, que apareció en septiembre de 2017. Coinhive era un servicio que permitía minar Monero en el navegador de un visitante con solo incrustar JavaScript en un sitio web, y al principio se vio como un método de monetización para sustituir a la publicidad. Sin embargo, se generalizaron los casos de operadores de sitios que incrustaban el script sin el consentimiento de los visitantes, y los proveedores de seguridad lo añadieron a sus objetivos de detección de malware. A medida que el precio de Monero caía y se reforzaban las contramedidas del lado del navegador, su rentabilidad se deterioró, y Coinhive cerró su servicio en marzo de 2019. No obstante, incluso tras el fin de Coinhive, el criptojacking en sí ha sobrevivido cambiando sus métodos.
Tres vías de infección
El software de minería se instala en un dispositivo a través de correos de phishing o descargas maliciosas. Se ejecuta automáticamente al arrancar el sistema operativo y mina constantemente en segundo plano. A menudo se incorpora a una botnet.
El JavaScript incrustado en un sitio web realiza la minería en el navegador del visitante. Se detiene al cerrar el navegador, pero también existen técnicas que lo mantienen ejecutándose oculto en una ventana pop-under.
Se utilizan claves de API o claves de acceso filtradas para poner en marcha grandes cantidades de instancias de AWS, Azure o GCP destinadas a la minería. A la víctima se le facturan elevadas tarifas de uso de la nube.
Métodos de detección
En un dispositivo personal, comprobar el uso de CPU en el Administrador de tareas o el Monitor de Actividad es el método de detección más sencillo. Si un proceso concreto consume de forma constante el 50% o más de la CPU, podría tratarse de criptojacking. En un entorno empresarial, los productos de seguridad de endpoints detectan las firmas y el comportamiento del software de minería. En un entorno de nube, configurar alertas de facturación y rotar periódicamente las claves de acceso de IAM son medidas defensivas básicas.
Comparación con el ransomware
| Aspecto | Criptojacking | Ransomware |
|---|---|---|
| Objetivo | Robo de recursos de cómputo | Cifrado de datos y exigencia de rescate |
| Sigilo | Alto (pasa inadvertido durante largos periodos) | Bajo (el daño se manifiesta de inmediato) |
| Naturaleza del daño | Degradación de energía y rendimiento, facturas de la nube | Pérdida de datos, interrupción del negocio |
| Ingresos del atacante | Pequeños pero constantes | Grandes pero con baja tasa de éxito |
| Dificultad de detección | Alta | Baja (evidente una vez que comienza el cifrado) |
Para los atacantes, el criptojacking es un método «de bajo riesgo y bajo rendimiento». A diferencia del ransomware, es menos probable que atraiga la atención de las fuerzas del orden, y puede generar ingresos durante mucho tiempo mientras la víctima permanece ajena. Por ello, se han reportado casos de atacantes que, tras irrumpir explotando una vulnerabilidad, despliegan la minería como un «recurso provisional» antes de implementar el ransomware.libros sobre seguridad de criptomonedas (Amazon) también son útiles. Consulta también Seguridad de las carteras de criptomonedas, Protección contra ransomware y Seguridad de las extensiones de navegador.
¿Te resultó útil este artículo?